Devo installare un prodotto AV sui miei controller di dominio?

Devo eseguire un antivirus specifico del server, un antivirus normale o nessun antivirus sui miei server, in particolare i miei controller di dominio?

Ecco alcuni retroscena del perché sto ponendo questa domanda:

Non ho mai messo in dubbio che il software antivirus dovrebbe essere in esecuzione su tutte le macchine Windows, punto. Ultimamente ho avuto alcuni oscuri problemi relativi ad Active Directory che ho rintracciato al software antivirus in esecuzione sui nostri controller di dominio.

Il problema specifico era che Symantec Endpoint Protection era in esecuzione su tutti i controller di dominio. Occasionalmente, il nostro server Exchange ha attivato in sequenza un falso positivo nella "Protezione dalle minacce di rete" di Symantec su ciascun controller di dominio. Dopo aver esaurito l'accesso a tutti i controller di dominio, Exchange ha iniziato a rifiutare le richieste, presumibilmente perché non poteva comunicare con alcun server del catalogo globale o eseguire alcuna autenticazione.

Le interruzioni durerebbero circa dieci minuti alla volta e si verificherebbero una volta ogni pochi giorni. Ci è voluto molto tempo per isolare il problema perché non era facilmente riproducibile e in genere sono state condotte indagini dopo che il problema si è risolto da solo.

Il software antivirus dovrebbe sicuramente funzionare su tutte le macchine in una rete gestita correttamente, anche se sono in atto altre misure di prevenzione delle minacce. Dovrebbe funzionare anche sui server, per due motivi: 1) sono i computer più critici nel tuo ambiente, molto più dei sistemi client e 2) non sono meno a rischio solo perché nessuno usa attivamente (o almeno dovrebbe non utilizzarli attivamente) per navigare sul Web: c'è un sacco di malware che può diffondersi automaticamente sulla tua rete se riesce a trattenere anche un singolo host.

Detto questo, il tuo problema è più legato alla corretta configurazione del tuo software antivirus.

Il prodotto che stai utilizzando è dotato di firewall integrato: è qualcosa che dovrebbe essere preso in considerazione quando lo esegui su sistemi server e configurato di conseguenza (o spento).

Alcuni anni fa, il software antivirus era (in) famoso per l'eliminazione casuale dei database di Exchange se per caso si imbatteva in una firma virale all'interno di un messaggio di posta elettronica archiviato nel file di dati fisici; ogni fornitore di antivirus lo ha avvertito nel manuale del prodotto, ma alcune persone non sono ancora riuscite a coglierlo e hanno rovinato i loro negozi.

Non c'è software che puoi "installare ed eseguire" senza pensare due volte a quello che stai facendo.

Tutti i nostri server (inclusi file / sql / exchange) eseguono Symantec Antivirus con scansione in tempo reale e scansioni programmate settimanali. Il software aumenta il carico sulle macchine del ~ 2% per carichi di lavoro medi (utilizzo medio della CPU del 10% durante il giorno senza scansione in tempo reale, 11,5-12,5% con scansione in tempo reale con sul nostro file server).

Quei core non stavano facendo niente comunque.

YMMV.

Ho sempre avuto il software AV con la scansione in accesso abilitata su tutti i server Windows e ne sono stato grato più di una volta. È necessario un software efficace e ben educato. Mentre so che ci sono alcuni che non saranno d'accordo, devo dirti che Symantec è una scelta tanto sbagliata quanto potresti fare.

I pacchetti di tipo "tutto in uno" raramente sono altrettanto efficaci dei singoli componenti scelti (come in, non ho ancora visto un esempio decente). Seleziona ciò di cui hai bisogno per la protezione, quindi scegli ciascun componente separatamente per la migliore protezione e prestazioni.

Una cosa da tenere presente è che probabilmente non esiste un prodotto AV con impostazioni predefinite decenti. La maggior parte dei giorni va per la scansione sia in lettura che in scrittura. Anche se sarebbe bello, spesso porta a problemi di prestazioni. Abbastanza brutto in ogni momento ma molto brutto quando il DC ha problemi perché un file a cui deve accedere è stato bloccato mentre lo scanner AV lo sta controllando. La maggior parte degli scanner esegue anche la scansione di un numero molto elevato di tipi di file che non possono nemmeno essere infettati perché non possono contenere codice attivo. Controlla le tue impostazioni e regola con discrezione.

Offrirò un contrappunto alle risposte prevalenti a questa discussione.

Non credo che dovresti eseguire software antivirus sulla maggior parte dei tuoi server, con i file server che fanno eccezione. Tutto ciò che serve è un cattivo aggiornamento delle definizioni e il tuo software antivirus potrebbe facilmente rompere un'applicazione importante o interrompere completamente l'autenticazione nel tuo dominio. E, sebbene nel corso degli anni il software AV abbia compiuto notevoli progressi nel suo impatto sulle prestazioni, alcuni tipi di scansioni possono avere un effetto negativo sull'I / O o sulle applicazioni sensibili alla memoria.

Penso che ci siano svantaggi abbastanza ben documentati nell'esecuzione di software antivirus sui server, quindi qual è il lato positivo? Apparentemente, hai protetto i tuoi server da qualsiasi cattiveria che filtra attraverso i firewall perimetrali o viene introdotta nella tua rete. Ma sei davvero protetto? Non è del tutto chiaro ed ecco perché.

Sembra che la maggior parte dei malware di successo abbia vettori di attacco che rientrano in tre categorie: a) affidarsi a un utente finale ignorante per scaricarlo accidentalmente, b) basarsi su una vulnerabilità che esiste nel sistema operativo, nell'applicazione o nel servizio oc) è un giorno zero sfruttare. Nessuna di queste dovrebbe essere vettori di attacco realistici o rilevanti per i server in un'organizzazione ben gestita.

a) Non navigare in Internet sul tuo server. Fatto e fatto. Seriamente, non farlo.

b) Ricordi NIMDA? Codice rosso? La maggior parte delle strategie di propagazione si basava sull'ingegneria sociale (l'utente che fa clic su Sì) o sulle vulnerabilità note per le quali erano già state rilasciate patch. Puoi mitigare significativamente questo vettore di attacco assicurandoti di rimanere aggiornato con gli aggiornamenti di sicurezza.

c) Gli exploit zero day sono difficili da gestire. Se è il giorno zero, per definizione il tuo fornitore di antivirus non avrà ancora definizioni per esso. Esercitando la difesa in profondità, il principio del privilegio minimo e avere la minima superficie di attacco possibile aiuta davvero. In breve, non c'è molto che AV può fare per questi tipi di vulnerabilità.

Devi fare tu stesso l'analisi del rischio, ma nel mio ambiente penso che i benefici dell'AV non siano abbastanza significativi da compensare il rischio.

Generalmente impostiamo AV secondo una pianificazione e non utilizziamo la scansione in tempo reale (ovvero, i file non vengono scansionati mentre vengono creati).

Ciò sembra evitare la maggior parte dei problemi che derivano dall'avere AV su un server. Dal momento che nessuno (idealmente) esegue effettivamente qualcosa sul server, la necessità di protezione in tempo reale è ridotta, soprattutto considerando che i client dispongono di AV con Real Time.

Eseguiamo il prodotto server Vexira sui nostri server, ma potrebbe essere più una funzione di prezzi scontati che di efficacia. Abbiamo avuto diverse workstation che utilizzano il loro prodotto desktop che rifiuteranno di aggiornarsi a meno che non disinstalliamo e reinstalliamo con l'ultima versione.

Ho la sensazione che molti di questi problemi siano causati dalle persone che configurano AV sui server come se fossero PC domestici. Ciò può dipendere da una gestione miope, contropunti, rigida aderenza alle politiche aziendali che non tengono debitamente conto delle diverse esigenze dei diversi utenti / macchine o di un ex amministratore che non era del tutto all'altezza, ma il risultato finale è lo stesso: il caos.

In un mondo ideale direi "usa un prodotto AV diverso per i tuoi server come lo è sui tuoi PC, assicurati prima di acquistarlo che è un prodotto AV per server appropriato e prendi qualsiasi cosa con la parola" Symantec "sopra le orecchie e buttalo fuori dalla porta ".

Dall'altro lato della medaglia in 20 anni con dozzine di clienti non ho mai visto un controller di dominio che non aveva unità condivise infette. Anche allora solo le infezioni erano file lasciati sul disco e non le infezioni effettive del sistema operativo. Il malware che vediamo maggiormente che persino le condivisioni degli effetti è cryptolocker e che in realtà non infetta i server. Crittografa semplicemente i file condivisi. Se la workstation è adeguatamente protetta, il server non verrà crittografato.

Quello che vedo è il software AV che causa problemi. Ho trascorso ore a cercare di capire cosa è cambiato solo per trovare un aggiornamento AV che ha causato il problema. Anche se configurato correttamente ho riscontrato problemi. So che le persone mi diranno le migliori pratiche e tutti devono eseguire l'AV. So che qualcuno indicherà che un giorno questo mi morderà per non avere AV su tutti i server. Fino a poco più di un anno fa non abbiamo mai visto un cryptolocker e ora abbiamo varianti abbastanza spesso (tutte cose che non riescono a essere fermate da diverse marche di AV installate correttamente sulla workstation a proposito.) Forse un giorno ci sarà un altro worm tipo di virus che infetta i server ma fino a quel momento sono felice di non dover affrontare problemi AV sui miei server SQL, di stampa e DC.

Mi rendo conto che questo thread è piuttosto vecchio, ma ho sentito che l'argomento non era stato discusso completamente, poiché l'unica menzione era relativa ad Anti-Virus aka, protezione del software "AV" sul server DC.

1.) A mio avviso, i software AV hanno fatto molta strada in termini di efficacia, eppure ci sono insidie. Non solo l'AV è potenzialmente difettoso, gli AV hanno la tendenza a consumare memoria e non a rilasciarla, non va bene, in un ambiente di produzione, puoi davvero permetterlo? Ahia.

2.) Pensaci ... Se la tua prima linea di difesa inizia sul tuo controller di dominio e su altri server, sei già sconfitto a metà. Perché qualcuno dovrebbe voler iniziare il proprio schema di difesa all'interno dei propri server ???? Iniziare lo sforzo di opporre resistenza attiva contro le minacce al centro dell'universo della rete è folle. Mettere una difesa attiva a questo livello del tuo modello di sicurezza dovrebbe significare che la tua rete è stata cancellata dagli hacker e stai cercando di salvare la tua rete in un ultimo tentativo disperato (sì, la tua rete non è più connessa a nulla all'esterno e stai combattendo attivamente l'infezione internamente), questo è quanto male dovrebbe essere al fine di iniziare la tua difesa sul DC e su altri server. Filtra e difendi attivamente dalle minacce molto prima che la minaccia si trovi sui tuoi server. Come mai? Articolo 3.

3.) Ecco perché alcuni CCIE / CCNP fanno i soldi. Qualsiasi organizzazione degna di nota acquisterà un certo tipo di hardware da Cisco / Barracuda / Juniper, o altrimenti per ottenere una soluzione hardware (perché il software AV non si avvicina al taglio della senape). La maggior parte degli AV software (anche quelli spesso pubblicizzati come versioni Enterprise di Symantec, McAfee, Norton, ecc., Ecc. Ecc.) Semplicemente non si avvicinano a fornire la stessa protezione di una configurazione IronPorts di Cisco o altri prodotti simili di qualsiasi fornitore importante. Per un dispendio di $ 10.000 del budget del reparto IT, puoi avere una protezione molto rispettabile che gli AV software non ti forniranno.

4.) Ho ridotto le dimensioni del software AV, quindi consentitemi di ricostruirle. I software AV, per me, sono indispensabili su qualsiasi workstation / PC "utente", senza eccezioni. Impediscono che inconsapevoli o malintenzionati danneggino / distruggano le tue reti da fonti esterne, ad esempio hanno portato la loro unità flash da casa e hanno tentato di copiare sul loro Workstation un lavoro fatto a casa la notte precedente. Questa area è il motivo principale per avere un buon software AV. Questo è il motivo per cui è stato inventato il software AV (virus di Vienna), per nessun altro motivo, guasta ... quasi dimenticavo il vero motivo ... per rubare i tuoi soldi ok ok, nm.

5.) Comunque ... Il tuo DC non trarrà alcun vantaggio o sarà impedito dall'avere software AV su di esso. I tuoi DB Server, i Web Server ne soffriranno, nessun software AV su di essi a meno che tu non sia davvero sotto un attacco noto e sostenuto (lo saprai di persona a causa di IronPorts, ecc. ... di cui al punto 3).

6.) Ultimo ma non meno importante, se non puoi permetterti una buona configurazione da Cisco o Juniper, vai su Linux! Se hai una macchina di riserva o due in giro, controlla le tue opzioni con alcune delle soluzioni OpenSource disponibili per la tua rete ... Sono potenti ... e come la risposta scelta sopra evidenziata, devono essere configurate correttamente . Ricordi quel tipo CCIE / CCNP di cui stavo parlando ..? Sì.